- 简介随着网络攻击数量和复杂性的增加,威胁猎捕已成为积极安全的关键方面,能够在威胁造成重大损害之前实现积极检测和缓解。开源网络威胁情报(OS-CTI)是威胁猎手的宝贵资源,但它通常以非结构化格式呈现,需要进一步手动分析。以前旨在自动化OS-CTI分析的研究受到限制,因为(1)它们未能提供可操作的输出,(2)它们未利用OS-CTI来源中存在的图像,(3)它们专注于本地环境,忽视了云环境的日益重要性。为了解决这些问题,我们提出了LLMCloudHunter,这是一个新颖的框架,利用大型语言模型(LLMs)从文本和视觉OS-CTI数据中自动生成通用签名检测规则候选项。我们使用12个注释过的真实云威胁报告评估了所提出的框架生成的规则的质量。结果表明,我们的框架在准确提取威胁行为者发出的API调用的任务中实现了92%的精度和98%的召回率,并实现了99%的精度和98%的召回率的IoCs。此外,99.18%的生成的检测规则候选项已成功编译并转换为Splunk查询。
- 图表
- 解决问题如何自动化处理开源威胁情报(OS-CTI)并生成可操作的检测规则?
- 关键思路使用大型语言模型(LLMs)从文本和视觉OS-CTI数据中自动生成通用签名检测规则候选项。
- 其它亮点该论文提出了LLMCloudHunter框架,使用大型语言模型自动生成可操作的检测规则,针对云环境进行了评估,取得了较高的精确度和召回率。实验使用了12个真实的云威胁报告,并成功编译了99.18%的检测规则候选项。
- 近期的相关研究包括:1.《Automated Cyber Threat Intelligence Analysis: Characterization and Challenges》;2.《A Survey on Automated Cyber Threat Intelligence Analysis》。
沙发等你来抢
去评论
评论
沙发等你来抢